WLAN Standards
Generell beschreibt der IEEE 802.11
Standard die Technik des drahtlosen, lokalen Netzwerks. Diese Wireless Local
Area Networks werden oft auch als Wireless LAN, WLAN oder WiFi umschrieben.
Die etablierten Standards sind zur Zeit 802.11a (sendet im 5 GHz
Frequenzbereich mit bis zu 54 MBit/s) und 802.11b (sendet im 2,4 GHz
Frequenzbereich mit bis zu 11 MBit/s). Neu hinzu gekommen ist jetzt der IEEE
802.11g Standard, er wurde im Juni 2003 ratifiziert.
- Beschreibung:
-
Eine IEEE Spezifikation für Wireless
Netzwerke, sendet im 5 GHz Frequenzbereich (5.725 GHz bis 5.850 GHz) .Er
sieht acht überschneidungsfreie Funkkanäle vor Die maximale
Übertragungsrate beträgt 54 MBit/s, wobei der effektive Durchsatz für den
Benutzer jedoch abhängig ist von der Anzahl der Benutzer, der
Störeinflüsse und der Entfernung zum Access Point ab.
Vorteile:
-
Interferenz: frei von Interferenzstörungen durch 2.4
GHz-Geräte wie Funktelefonen, Mikrowellengeräten, etc.; coexistiert
störungsfrei mit Blutooth und 802.11b Geräten.
-
Geschwindigkeit: bis zu 5x schneller als 802.11b
-
Reichweite: Vergleichbare Reichweiten wie 802.11b in
einer typischen Büroumgebung bis 25 Meter, bei größeren Reichweiten
abfallend
-
Portdichte: 802.11a Systeme haben mehr
nicht-überlappende Kanäle als 802.11b und 802.11g und erlauben eine höhere
Systemkapazität (gleichzeitiger Einsatz von bis zu 8 Benutzern, ohne dass
es zur Teilung von Kanal-Bandbreiten kommt, gegenüber 3 bei 802.11b und
802.11g)
-
Höhere Investitionskosten, aber erhöhte Portdichte und
Datentransferraten führen eventuell wieder zu geringeren Kosten pro
Anwender / pro Mit/s
-
Kapazität: 64 Benutzer pro Access Point
- Empfehlung:
-
Höherer Anspruch an Leistung und Geschwindigkeit
-
Bandbreiten-intensive Anwendungen wie Sprache, Video
und die Übertragung von großen Dateien wie Bilder und Graphiken.
-
Anwesenheit von signifikanten RF Interferenzen auf dem
2.4 Hz Band (Notwendigkeit einer klaren Frequenz) durch Funktelefone,
Blutooth ect.
-
Hohe Portdichte des Netzwerks durch viele Benutzer /
Clients.
-
Mehr Anwender pro Access Point, z.B. Computer-Labor,
Konferenz-Zentrum etc.
- Einführung:
-
Der Standard wurde 1999 fertig
gestellt.
- Beschreibung:
-
Internationaler Standard für Wireless-Netzwerke, welcher in einem
Frequenzbereich von 2.4 (2.4 GHz bis 2.4835 GHz) sendet. Er sieht drei
überschneidungsfreie Funkkanäle vor. Die maximale Übertragungsrate beträgt
11 MBit/s, wobei der effektive Durchsatz für den Benutzer jedoch abhängig
ist von der Anzahl der Benutzer, der Störeinflüsse und der Entfernung zum
Access Point ist
Vorteile:
-
Geschwindigkeit: bis zu 11 MBit/s, ausreichend für
viele Applikationen
-
Einsatz: Grosse installierte Basis in Geschäfts- wie
auch privater Umgebung für einfache Migration zwischen diesen beiden
Standorten, wird auch in ,Hot Spots` eingesetzt, z.B. Hotels, Flughäfen,
etc.
-
Kosten: geringsten Investitionskosten bei der
Implementierung eines Wireless Netzwerk.
-
Kapazität: 32 Benutzer pro Access Point
- Empfehlung von 802.11b bei:
-
Anspruch an Reichweite ist wichtiger als die Portdichte
-
Geringe Anzahl an Anwendern
-
Weniger Anwender teilen sich den Datendurchsatz eines
Access Points
- Einführung:
-
Der Standard wurde 1999 fertig
gestellt. Seit 2001 ist eine Vielzahl entsprechender Produkte erhältlich.
- Beschreibung:
-
Internationaler Standard für Wireless-Netzwerke, welcher in einem
Frequenzbereich von 2.4 (2.4 GHz bis 2.4835 GHz) sendet. Er sieht drei
überschneidungsfreie Funkkanäle vor. Die maximale Übertragungsrate beträgt
54 MBit/s, wobei der effektive Durchsatz für den Benutzer jedoch abhängig
ist von der Anzahl der Benutzer, der Störeinflüsse und der Entfernung zum
Access Point ist. Der 802.11g-Standard verwendet die OFDM-Modulation
(Orthogonal Frequency Division Multiplexing), doch er unterstützt zur
Gewährleistung einer Abwärtskompatibilität mit 11b auch CCK-Modulation (Complementary
Code Keying) und als Option für schnellere Übertragungsraten die
PBCC-Modulation (Packet Binary Convolutional Coding).
Vorteile:
-
Geschwindigkeit: bis zu 54 MBit/s, ausreichend für
viele Applikationen
-
Einsatz: Die große installierte Basis von 802.11b
Geräten kann genutzt werden, da der Standard 802.11g kompatibel zum
802.11b Standard ist, das heißt 802.11b und 802.11g Geräte können im
gleichen Wireless Netzwerk betrieben werden.
-
In der IEEE Spezifikation wird beschrieben, dass wenn
ein 802.11g Gerät ein langsameres 802.11b Gerät erkennt, dieses 802.11g
Gerät einen RTS/CTS Prozess (Request-to-send/Clear-to-send) startet, bevor
es das aktuelle Paket sendet. Dieser Prozess kann den Datendurchsatz
verlangsamen. In den Subnetzteilen, in denen eine hohe Performance sehr
wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden
oder besser gegen 802.11g Produkte ausgetauscht werden.
-
Kosten: etwas höhere Investitionskosten als bei der
Implementierung eines 802.11b Wireless Netzwerks, dafür aber auch ein bis
zu 5x schnellerer Datentransfer als 802.11b.
-
Kapazität: 64 Benutzer pro Access Point
- Empfehlung von 802.11g bei:
-
Anspruch an Reichweite ist wichtiger als die Portdichte
-
Höherer Anspruch an Geschwindigkeit, z. B für die
Übertragung von großen Dateien wie Bilder und Graphiken
-
Geringe Anzahl an Anwendern
-
Weniger Anwender teilen sich den Datendurchsatz eines
Access Points
- Einführung:
-
Der Standard wurde im Juni 2003
ratifiziert. Bereits seit Frühjahr 2003 sind Produkte verfügbar, die als
pre-G angeboten wurden. Die NETGEAR pre-G Produkte lassen sich einfach mit
einer auf der Support-Seite bereits verfügbaren kostenlosen
Update-Software auf den endgültigen Standard anpassen.
Dual-Band Geräte vereinigen all die 3
vorgenannten Standards in einem Gerät. Das heißt, der eingebaute Prozessor
unterstützt 802.11a, 802.11b und 802.11g. Er sendet sowohl auf dem 5 GHz
Frequenzband (802.11a) sowie auf dem 2.4 GHz Band (802.11b/g), daher auch
der Name Dual Band.
Dies gibt Ihnen absolute Flexibilität und
erlaubt den simultanen Zugriff aller 3 Standards über ein Gerät. Das heißt
in der Praxis, das Anwender mit einem hohen Performanceanspruch ohne
Geschwindigkeitseinbuße und ohne Interferenzstörungen auf dem 5 GHz Band
senden, während gleichzeitig andere User im auf das Netzwerk zugreifen und
Ihre Daten auf dem 2.4 GHz Band übertragen.
Wenn ein Access Point vorhanden ist,
können Sie das Wireless-LAN im Infrastrukturmodus betreiben. Dieser Modus
bietet mehreren Wireless-Netzwerkgeräten innerhalb einer festen Reichweite
eine Wireless-Konnektivität, indem er mit einem Wireless-Knoten über eine
Antenne kommuniziert.
Im Infrastrukturmodus setzt der Wireless
Access Point Funkdaten in Ethernet-Daten um und nimmt so eine
Mittlerposition zwischen dem verkabelten LAN und Wireless-Clients ein. Durch
Einbindung mehrerer Access Points über ein verkabeltes Ethernet Backbone
kann die Reichweite des Wireless-Netzwerks noch weiter ausgedehnt werden.
Mobilcomputer, die den durch einen Access Point abgedeckten Bereich
verlassen, treten in den Bereich eines anderen ein. So können sich
Wireless-Clients frei zwischen den Access Point-Domains bewegen, ohne dass
die Verbindung unterbrochen wird.
In einem Ad-hoc-Netzwerk werden die
Verbindungen zwischen Computern nach Bedarf hergestellt; das heißt, es gibt
keine Strukturen oder Fixpunkte im Netzwerk — jeder Knoten kann mit jedem
anderen Knoten kommunizieren. Bei dieser Konfiguration gibt es keinen Access
Point. In diesem Modus können Sie schnell eine kleine Wireless-Workgroup
einrichten, deren Mitglieder mit Hilfe der Microsoft-Netzwerkfunktionen in
den verschiedenen Windows-Betriebssystemen Daten austauschen oder Drucker
gemeinsam nutzen können. Manche Anbieter bezeichnen Ad-hoc-Netzwerke auch
als Peer-to-Peer-Group-Netzwerke.
Bei dieser Konfiguration werden
Netzwerkpakete direkt von den vorgesehenen Übertragungs- und
Empfangsstationen gesendet und empfangen. Solange sich die Stationen
innerhalb der gegenseitigen Reichweite befinden, ist dies die einfachste und
kostengünstigste Methode zur Einrichtung eines Wireless-Netzwerks.
ESSID ist einer von zwei Typen der
Service Set Identification (SSID). In einem Ad-hoc-Wireless-Netzwerk ohne
Access Points wird die Basic Service Set Identification (BSSID) verwendet.
In einem Infrastruktur-Wireless-Netzwerk, das über einen Access Point
verfügt, wird ESSID verwendet, das jedoch manchmal weiterhin als SSID
bezeichnet wird.
Die SSID ist eine aus max. 32
alphanumerischen Zeichen bestehende Zeichenfolge, die den Namen des
Wireless-LAN darstellt. Manche Hersteller bezeichnen die SSID als
Netzwerknamen. Damit die Wireless-Geräte in einem Netzwerk miteinander
kommunizieren können, müssen alle Geräte mit derselben SSID konfiguriert
werden.
Aufgrund der fehlenden physischen
Verbindung zwischen den Knoten sind die Wireless-Verbindungen anfällig für
Lauschangriffe und Datendiebstahl. Um ein bestimmtes Sicherheitsniveau zu
bieten, sind in der IEEE-Norm 802.11 zwei Authentifizierungsmethoden (Open
System und Shared Key) definiert.
Bei der Methode Open System kann ein
Wireless-PC sich jedem beliebigen Netzwerk anschließen und Nachrichten
empfangen, sofern diese nicht verschlüsselt sind. Bei der Methode Shared Key
können nur die PCs, die den korrekten Authentifizierungscode besitzen, an
das Netzwerk angebunden werden. Standardmäßig werden IEEE 802.11
Wireless-Geräte in einem Open System-Netzwerk betrieben. Die
WEP-Datenverschlüsselung (Wired Equivalent Privacy) wird verwendet, wenn für
die Wireless-Geräte der Authentifizierungsmodus Shared Key eingestellt
wurde. Bei den meisten handelsüblichen Produkten sind zwei Shared
Key-Methoden realisiert, die 64-Bit- und die
Die Norm 802.11 definiert verschiedene
Dienste, durch die die Kommunikation zwischen zwei 802.11-konformen Geräten
geregelt wird. Nur wenn die nachfolgenden Ereignisse eingetreten sind, kann
eine 802.11-Station über einen Access Point (z. B. den integrierten Access
Point des ME103) mit einem Ethernet-Netzwerk kommunizieren:
-
Schalten Sie die Wireless-Station ein.
-
Die Station sucht nach Nachrichten von Access Points,
die in Reichweite liegen.
-
Die Station findet an einem Access Point eine Nachricht
mit einer identischen SSID.
-
Die Station sendet eine Authentifizierungsanforderung
an den Access Point.
-
Der Access Point authentifiziert die Station, d. h.
überprüft die Identität der Station.
-
Die Station sendet eine Verknüpfungsanforderung an den
Access Point.
-
Der Access Point stellt eine Verbindung zu der Station
her.
-
Nun kann die Station über den Access Point mit dem
Ethernet-Netzwerk kommunizieren.
Erst nach der Authentifizierung durch
einen Access Point kann eine Station eine Verbindung zu dem betreffenden
Access Point herstellen oder mit dem Netzwerk kommunizieren. Die Norm IEEE
802.11 definiert zwei Authentifizierungstypen: Open System und Shared Key.
-
Bei der Open System-Authentifizierung
kann sich jedes Gerät dem Netzwerk anschließen, sofern die SSID des Geräts
der SSID des Access Points entspricht. Alternativ dazu kann das Gerät die
SSID-Option "ALLE" bzw. "ANY" verwenden, um eine Verbindung zu allen
innerhalb der Reichweite verfügbaren Access Points herzustellen,
unabhängig von deren SSID.
-
Bei der Shared Key-Authentifizierung
müssen die Station und der Access Point denselben WEP-Code besitzen. Diese
beiden Authentifizierungsverfahren werden nachfolgend erläutert.
Wenn zwei Geräte die Open System-Authentifizierung
verwenden, werden folgende Schritte ausgeführt:
-
Die Station sendet eine Authentifizierungsanforderung
an den Access Point.
-
Der Access Point authentifiziert die Station, d. h.
überprüft die Identität der Station.
-
Die Station stellt eine Verbindung zu dem Access Point
und damit zum Netzwerk her.
Wenn zwei Geräte die Shared Key-Authentifizierung
verwenden, werden folgende Schritte ausgeführt:
-
Die Station sendet eine Authentifizierungsanforderung
an den Access Point.
-
Der Access Point sendet den Challenge-Text (Test-Text)
an die Station.
-
Die Station verschlüsselt den Challenge-Text mit Hilfe
des konfigurierten 64-Bit-oder 128-Bit-Standardcodes und sendet den
verschlüsselten Text an den Access Point.
-
Der Access Point entschlüsselt den verschlüsselten Text
mit Hilfe des konfigurierten WEP-Codes, der dem Standardcode der Station
entspricht. Der Access Point vergleicht den entschlüsselten Text mit dem
ursprünglichen Challenge-Text. Wenn die beiden Texte übereinstimmen,
bedeutet dies, dass der Access Point und die Station denselben WEP-Code
verwenden; der Access Point bestätigt die Identität der Station.
-
Die Station stellt eine Verbindung zum Netzwerk her.
Wenn der entschlüsselte Text nicht mit dem ursprünglichen Challenge-Text
übereinstimmt (der Access Point und die Station also nicht denselben
WEP-Code verwenden), verweigert der Access Point die Authentifizierung der
Station; das heißt, die Station kann weder mit dem 802.11-Netzwerk noch
mit dem Ethernet-Netzwerk kommunizieren.
Vor der Aktivierung von WEP in einem
802.11-konformen Netzwerk müssen Sie den erforderlichen Verschlüsselungstyp
und die gewünschte Codegröße festlegen. In der Regel sind für Produkte nach
802.11 drei Optionen für die WEP-Verschlüsselung verfügbar:
-
WEP nicht verwenden bzw. Do Not Use WEP:
In dem 802.11-Netzwerk ist keine Verschlüsselung der Daten erforderlich.
Zur Authentifizierung verwendet das Netzwerk das
Authentifizierungsverfahren Open System.
-
WEP für Verschlüsselung verwenden bzw. Use WEP
for Encryption:
Ein 802.11b-Sendegerät verschlüsselt den Datenteil jedes Pakets, das es
versendet, mit einem konfigurierten WEP-Code. Das 802.11b-Empfangsgerät
entschlüsselt die Daten mit demselben WEP-Code. Zur Authentifizierung
verwendet das 802.11b-Netzwerk das Authentifizierungsverfahren Open
System.
-
WEP für Authentifizierung und Verschlüsselung
verwenden bzw. Use WEP for Authentication and Encryption:
Ein 802.11-Sendegerät verschlüsselt den Datenteil jedes Pakets, das es
versendet, mit einem konfigurierten WEP-Code. Das 802.11-Empfangsgerät
entschlüsselt die Daten mit demselben WEP-Code. Zur Authentifizierung
verwendet das 802.11-Netzwerk das Authentifizierungsverfahren Shared
Key.
- Hinweis:
-
Manche Access Points gemäß 802.11
unterstützen auch die Option "WEP nur für Authentifizierung verwenden"
bzw. "Use WEP for Authentication Only" (Shared Key-Authentifizierung ohne
Datenverschlüsselung).
Die Norm IEEE 802.11 definiert zwei
WEP-Verschlüsselungsverfahren: 40-Bit und 128-Bit. Bei der
64-Bit-WEP-Datenverschlüsselung ist eine aus fünf Zeichen (40 Bit)
bestehende Eingabe zulässig. In Kombination mit den 24 vom Hersteller
definierten Bit wird ein 64-Bit Verschlüsselungscode generiert. (Die 24 vom
Hersteller definierten Bit können nicht vom Benutzer konfiguriert werden.)
Dieser Verschlüsselungscode wird zum Ver- und Entschlüsseln aller über die
Wireless-Schnittstelle übermittelten Daten verwendet. Einige Anbieter
bezeichnen die 64-Bit-WEPDatenverschlüsselung als
40-Bit-WEP-Datenverschlüsselung, da der vom Benutzer konfigurierbare
Schlüssel, der bei der Verschlüsselung verwendet wird, nur 40 Bit lang ist.
Die 128-Bit WEP-Datenverschlüsselungsmethode besteht aus 104
konfigurierbaren Bit. Ähnlich wie bei der 40-Bit-WEP-Datenverschlüsselung
werden die restlichen 24 Bit vom Hersteller festgelegt und können nicht vom
Benutzer konfiguriert werden. Einige Hersteller lassen die Eingabe von so
genannten "Passphrases" anstelle komplizierter Hexadezimalzeichen zu, um die
Eingabe des Verschlüsselungscodes zu vereinfachen.
Die 128-Bit-Verschlüsselung bietet ein
größeres Maß an Sicherheit als die 40-Bit-Verschlüsselung.
802.11-Produkte, die für die
40-Bit-Verschlüsselung konfiguriert wurden, unterstützen in der Regel bis zu
vier WEP-Codes. Jeder 40-Bit-WEP-Code wird dargestellt als fünf
Zeichenpaare, die jeweils aus zwei Hexadezimalzeichen (0-9 und A-F)
bestehen. Ein Beispiel eines 40-Bit-WEP-Codes wäre "12 34 56 78 90 ".
802.11b-Produkte, die für die
128-Bit-Verschlüsselung konfiguriert wurden, unterstützen in der Regel vier
WEP-Codes; manche Hersteller unterstützen jedoch nur einen 128-Bit-Code. Der
128-Bit-WEP-Code wird dargestellt als 13 Zeichenpaare, die jeweils aus zwei
Hexadezimalzeichen (0-9 und A-F) bestehen. Ein Beispiel eines
128-Bit-WEP-Codes wäre "12 34 56 78 90 AB CD EF 12 34 56 78 90 ".
- Hinweis:
-
Access Points gemäß 802.11 können in
der Regel bis zu vier 128-Bit-WEP-Codes speichern; auf manchen
802.11-konformen Client-Adaptern kann jedoch nur ein 128-Bit-WEP-Code
gespeichert werden. Daher sollten Sie in jedem Fall sicherstellen, dass
die Konfigurationen Ihres 802.11-konformen Zugangs- und des
Client-Adapters übereinstimmen.
Die WEP-Einstellungen müssen auf allen
802.11-Geräten übereinstimmen, die zu demselben, durch die SSID
gekennzeichneten Wireless-Netzwerk gehören. Wenn Ihre mobilen Clients sich
zwischen mehreren Access Points hin- und herbewegen, müssen alle
802.11-Access Points und alle 802.11-Client-Adapter im Netzwerk dieselben
WEP-Einstellungen aufweisen.
- Hinweis:
-
Unabhängig von den für einen Access
Point eingegeben Codes ist sicherzustellen, dass für den Client-Adapter
dieselben Codes in derselben Reihenfolge eingegeben werden.
Das heißt, WEP-Code 1 auf dem Access Point muss mit WEP-Code 1 auf dem
Client-Adapter übereinstimmen, WEP-Code 2 auf dem Access Point muss mit
WEP-Code 2 auf dem Client-Adapter übereinstimmen, usw.
Hinweis:
-
Der Access Point und die Client-Adapter
können verschiedene WEP-Standardcodes besitzen, sofern die Codes in
derselben Reihenfolge vorliegen. Das heißt, der Access Point kann WEP-Code
2 als Standardcode für die Übertragung verwenden, während ein
Client-Adapter WEP-Code 3 als Standardcode für die Übertragung verwenden
kann. Die beiden Geräte können dennoch miteinander kommunizieren, sofern
der WEP-Code 2 des Access Points mit dem WEP-Code 2 des Clients und der
WEP-Code 3 des Access Points mit dem WEP-Code 3 des Clients identisch ist.
IEEE 802.11b Wireless-Knoten
kommunizieren miteinander mit Funksignalen im ISM-Band (Industrial,
Scientific und Medical) zwischen 2,4 GHz und 2,5 GHz.
Benachbarte Kanäle liegen 5 MHz auseinander. Aufgrund des
Spread-Spektrum-Effekts der Signale verwendet jedoch ein Knoten, der Signale
über einen bestimmten Kanal sendet, ein Frequenzspektrum, das die zentrale
Kanalfrequenz um 12,5 MHz über- und unterschreitet. Das bedeutet, dass es
bei zwei separaten Wireless-Netzwerken, die benachbarte Kanäle (z. B. Kanal
1 und Kanal 2) im selben Bereich verwenden, zu Interferenzen kommt. Durch
Nutzung zweier Kanäle mit maximaler Kanaltrennung werden die Störsignale
verringert und im Vergleich zu Netzwerken mit minimaler Kanaltrennung
deutliche Leistungssteigerungen erzielt.
Kanal |
Mittenfrequenz |
Frequenzstreubereich |
1 |
2412 MHz |
2399,5 MHz - 2424,5 MHz |
2 |
2417 MHz |
2404,5 MHz - 2429,5 MHz |
3 |
2422 MHz |
2409,5 MHz - 2434,5 MHz |
4 |
2427 MHz |
2414,5 MHz - 2439,5 MHz |
5 |
2432 MHz |
2419,5 MHz - 2444,5 MHz |
6 |
2437 MHz |
2424,5 MHz - 2449,5 MHz |
7 |
2442 MHz |
2429,5 MHz - 2454,5 MHz |
8 |
2447 MHz |
2434,5 MHz - 2459,5 MHz |
9 |
2452 MHz |
2439,5 MHz - 2464,5 MHz |
101 |
2457 MHz |
2444,5 MHz - 2469,5 MHz |
11 |
2462 MHz |
2449,5 MHz - 2474,5 MHz |
12 |
2467 MHz |
2454,5 MHz - 2479,5 MHz |
13 |
2472 MHz |
2459,5 MHz - 2484,5 MHz |
Tabelle:
Funkfrequenzkanäle gemäß 802.11
- Hinweis:
-
Welche der verfügbaren Kanäle von
Wireless-Produkten unterstützt werden, variiert von Land zu Land. Die
bevorzugte Kanaltrennung zwischen Kanälen in benachbarten
Wireless-Netzwerken beträgt 25 MHz (5 Kanäle). Das bedeutet, Sie können
innerhalb Ihres Wireless-Netzwerks bis zu drei verschiedene Kanäle
verwenden. In den Vereinigten Staaten gibt es nur 11 verwendbare
Wireless-Kanäle. Es wird empfohlen, mit Kanal 1 zu beginnen und dann im
Fall eines Netzwerkausbaus mit Kanal 6 und Kanal 11 fortzufahren, da diese
drei Kanäle nicht überlappen.
802.1x setzt sich immer stärker als
Industriestandard durch und bietet eine effektive Lösung für die Sicherheit
von Wireless-LANs. Windows XP implementiert 802.1x als native Lösung. Das
802.11i Komitee definiert die Verwendung von 802.1x mit dem Ziel, 802.1x als
Teil des Standards 802.11 festzulegen. Mit 802.11b WEP müssen alle Access
Points und Client Wireless-Adapter an einem bestimmten Wireless-LAN den
gleichen Schlüssel verwenden. Jede sendende Station verschlüsselt die Daten
vor dem Versenden Daten mit einem WEP-Schlüssel, und die empfangende Station
entschlüsselt sie mit dem gleichen Schlüssel wieder. Dieser Prozess
reduziert das Risiko, dass jemand passiv die Übertragung überwachen kann und
Zugriff auf die über die Wireless-Verbindungen übertragenen Daten erhält.
Ein großes Problem des 802.11 Standards
liegt darin, dass die Änderung der Schlüssel recht aufwändig ist. Wenn Sie
die WEP-Schlüssel nur selten aktualisieren, kann eine Person ohne
diesbezügliche Berechtigung mithilfe eines Sniffing-Tools Ihr Netzwerk
überwachen und in weniger als einem Tag die verschlüsselten Nachrichten
entschlüsseln. Zur Verwendung verschiedener Schlüssel müssen Sie jeden
einzelnen Access Point und Wireless-Adapter manuell mit neuen Schlüsseln
konfigurieren. Produkte auf der Basis des 802.11 Standards allein bieten dem
Systemadministrator keine effektive Methode zur Aktualisierung der
Schlüssel. Bei nur wenigen Benutzern ist das nicht weiter problematisch, in
größeren Netzwerken kann das Erneuern der Schlüssel jedoch eine gewaltige
Aufgabe darstellen. Aus diesem Grund verwenden viele Unternehmen WEP
entweder überhaupt nicht, oder sie behalten die gleichen Schlüssel wochen-,
monate- oder sogar jahrelang bei. Beide Ansätze machen Wireless-LANs
empfindlich gegenüber dem Mithören durch Personen ohne entsprechende
Berechtigung.
IEEE 802.1x bietet eine effektive
Rahmenlösung zur Authentifizierung und Steuerung des Benutzer-Datenverkehrs
in einem geschützten Netzwerk sowie dynamisch variierende Schlüssel.
802.1x bindet ein Protokoll mit der
Bezeichnung EAP (Extensible Authentication Protocol) an die Medien des
Kabel- und des Wireless-LAN und unterstützt verschiedene
Authentifizierungsmethoden wie beispielsweise Token Cards, Kerberos,
Einmal-Kennwörter, Zertifikate und die Authentifizierung über öffentliche
Schlüssel. Ausführliche Details zu EAP finden Sie in IETF RFC 2284.
-
Der Client sendet eine Nachricht "EAP -
Start". Dadurch wird ein Nachrichtenaustausch zur Authentifizierung des
Clients eingeleitet.
-
Der Access Point antwortet mit einer
Nachricht "EAP - Identität anfordern".
-
Der Client sendet ein Paket "EAP -
Antwort" mit der Identität an den Authentifizierungs-Server.
-
Der Authentifizierungs-Server überprüft
die Identität des Clients mit einem spezifischen
Authentifizierungs-Algorithmus. Hierzu können digitale Zertifikate oder
andere EAP Authentifizierungsmethoden verwendet werden.
-
Der Authentifizierungs-Server sendet
eine Nachricht "Akzeptieren" oder "Ablehnen" an den Access Point.
-
Der Access Point sendet ein Paket "EAP
- Erfolgreich" (oder ein Ablehnungspaket) an den Client.
-
Wenn der Authentifizierungs-Server den
Client akzeptiert, aktiviert der Access Point den Status "Autorisiert" am
Client-Port und leitet den weiteren Datenverkehr weiter.
Die anfängliche Initial
802.1x-Kommunikation beginnt mit einem nicht authentifizierten Bereitsteller
(d.h. einem Client-Gerät), das versucht, die Verbindung zu einem
Authentifikator (z. B. 802.11 Access Point) auszubauen. Der Access Point
antwortet durch das Aktiveren eines Ports, über den ausschließlich
EAP-Pakete vom Client an den Authentifizierungs-Server auf der verkabelten
Seite des Access Points weitergeleitet werden. Der Access Point blockiert
den gesamten darüber hinaus gehenden Datenverkehr, z. B. HTTP, DHCP und
POP3-Pakete, bis der Access Point die Client-Identität über einen
Authentifizierungs-Server (z. B. RADIUS) bestätigen kann. Nach der
Authentifizierung öffnet der Access Point den Client-Port für weitere Arten
von Datenverkehr.
Das 802.1x-Basisprotokoll bietet eine
effektive Authentifizierung und eine dynamische Schlüsselverwaltung mit
802.1x als Mechanismus für die Bereitstellung. Bei einer Konfiguration zur
Implementierung eines dynamischen Schlüsselaustauschs kann der 802.1x
Authentifizierungs- Server zusammen mit der Nachricht "Akzeptieren" auch
Session-Schlüssel an den Access Point zurückgeben. Der Access Point
verwendet für den Aufbau, die Signatur und die Verschlüsselung einer
EAP-Schlüsselnachricht den gleichen Session-Schlüssel, der unmittelbar nach
dem Senden der Nachricht "Erfolgreich" an den Client gesendet wird. Der
Client kann anschließend den Inhalt der Schlüsselnachricht zum Definieren
geeigneter Schlüssel für die Verschlüsselung verwenden.
Bei typischen 802.1x-Implementierungen
kann der Client die Schlüssel beliebig oft automatisch ändern, damit
potenzielle Mithörer nicht genügend Zeit haben, den derzeit verwendeten
Schlüssel zu knacken.
Sie sollten sich darüber im Klaren sein,
dass der eigentliche Authentifizierungsmechanismus nicht von 802.1x
bereitgestellt wird. Bei Verwendung von 802.1x müssen Sie einen EAP-Typ
auswählen, beispielsweise Transport Layer Security (EAP-TLS) oder EAP
Tunneled Transport Layer Security (EAP-TTLS); dieser Typ definiert, wie die
Authentifizierung durchgeführt wird.
Es ist an dieser Stelle wichtig zu
wissen, dass die Software, die den spezifischen EAP-Typ unterstützt, auf dem
Authentifizierungs-Server liegt und innerhalb der Betriebssystem- oder
Anwendungs-Software auf den Client-Geräten. Der Access Point arbeitet als
"Schleuse" für 802.1x-Nachrichten; das bedeutet, Sie können einen beliebigen
EAP-Typ angeben, ohne eine Aktualisierung auf einen 802.1x-kompatiblen
Access Point durchführen zu müssen. Sie können daher den
EAP-Authentifizierungstyp aktualisieren, wenn neuere Typen verfügbar sind
und sich Ihre Sicherheitsanforderungen ändern. |